Es muy probable que el término 'SMS spoofing' (suplantación de SMS, en su traducción del inglés), no te suene de nada. Pero seguro que tú o alguien cercano a tu entorno ha recibido un mensaje de texto fraudulento y se ha colado en la cadena de SMS en la que recibes cualquier otra comunicación de una entidad bancaria o empresa de mensajería.
En las últimas semanas hemos detectado varios casos de SMS a nombre de BBVA, del Banco Santander e incluso de Seur. La finalidad es la misma que la de cualquier otro caso de phishing: hacerse con tus datos bancarios y también personales. Sin embargo, al recibirlo junto con el resto de comunicaciones, hace que podamos pensar que se trata de un mensaje legítimo.
Que no te la cuelen. Aquí puedes consultar los que hemos desmentido en Maldita.es:
Cuidado con este SMS que dice que “un dispositivo no autorizado” está conectado a tu “banca online”: no es del Santander, es ‘phishing’
Nos habéis preguntado a través de nuestro servicio de WhatsApp (+34 644 229 319) por un SMS supuestamente enviado por el Banco Santander que dice que “un dispositivo no autorizado” está conectado a tu “banca online” y añade un enlace para verificarlo “inmediatamente”. Pero es un bulo: se trata de un caso de smishing (phishing a través de SMS) que pretende conseguir tus datos bancarios.
Cuidado con este SMS que dice que tu paquete “está a la espera de instrucciones”: no es de Seur y es ‘phishing’
Nos habéis preguntado a través de WhatsApp y de nuestro email [email protected] por un SMS supuestamente enviado por la empresa de paquetería Seur que dice que “su paquete está a la espera de sus instrucciones” y que adjunta un enlace. Es un bulo: se trata de un caso de smishing (phishing a través de SMS) que pretende conseguir los datos de tu tarjeta bancaria.
Cuidado con este SMS que suplanta al BBVA y que te dice que “tu cuenta ha sido bloqueada” y que para desbloquearla debes actualizar tus datos: es phishing
“BBVA: tu cuenta ha sido bloqueada.para desbloquear tu cuenta actualiza tus datos http://bbvaa.me/?pwd=bbva”. Este es el SMS por el que nos habéis preguntado a través de nuestro chatbot de WhatsApp (+34 644 22 93 19) y que habéis recibido desde el propio número de BBVA que os pide la confirmación de pagos.
Pero ojo, si recibes un link por SMS, aunque sea de tu banco, desconfía porque, como indica el Instituto Nacional de Ciberseguridad (INCIBE), “nunca debes acceder” a tu cuenta desde estos enlaces, “ya que puede llevar a webs suplantadas”. Si tienes alguna duda, recomiendan entrar “directamente a través del área de clientes en la web legítima de tu banco”.
Cuidado con este SMS que suplanta al Banco Santander y te pide activar “la nueva sistema de seguridad”: es 'phishing'
Apartir del 22/07/2021 No puedes utilizar su cuenta, Tienes que activar la nueva sistema de seguridad (sic.)” dice el SMS que nos habéis enviado a [email protected] y que suplanta al Banco Santander. Tal y como está escrito el mensaje, nos lleva a sospechar que, efectivamente, se trata de un caso de smishing,un phishing a partir de un SMS.
No obstante, hay que tener mucho cuidado porque lo recibimos en la misma cadena en la que recibimos el resto de notificaciones del Banco Santander, en caso de ser cliente. Esto puede provocar que la persona que lo recibe piense que es legítimo y acabe proporcionando sus datos.
Cuidado con el SMS que suplanta a Correos y que te pide que pagues "los aranceles aduaneros": es un caso de phishing que se agrupa con mensajes reales de la entidad
Mucho ojo si durante estos días recibes un supuesto SMS de Correos diciéndote que no te han podido entregar un paquete puesto que "no se pagaron los aranceles aduaneros", porque no es una comunicación de Correos y se trata de un caso de phishing.
Desde la entidad nos dicen que no tienen "nada que ver" con este SMS y que están "en plena investigación" para averiguar los detalles de esta campaña fraudulenta de la que ya han alertado el Instituto Nacional de Ciberseguridad (INCIBE) y la Oficina de Seguridad del Internauta (OSI).
¿Cómo envían un SMS fraudulento a nombre de una entidad?
En Maldita.es hemos contactado con expertos en ciberseguridad para que nos expliquen cómo falsifican el remitente de estos mensajes para que nos lleguen a nombre de una determinada empresa o entidad, una “manipulación” que, como han reconocido entidades, como el BBVA en conversación con este medio, no pueden “controlar”.
Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan a Maldita.es que el SMS no se envía desde la cuenta de una entidad o banco, ni desde el número del mismo, sino que “los actores maliciosos dan de alta un 'alias'” para el envío de SMS idéntico al alias que utiliza la empresa, con lo que consiguen “que las aplicaciones de mensajería de los teléfonos agrupen el mensaje en la misma conversación legítima, pareciendo que es de la entidad original”. Afirman que no es lo habitual pero que ya se ha detectado el mismo modus operandi en otras campañas, como la mencionada de Correos.
La utilización de estos alias que hemos mencionado, según el instituto, es “una funcionalidad dentro de los servicios de SMS por la cual se puede sustituir el identificador numérico o número de teléfono del remitente por un identificador alfabético de hasta 11 caracteres”.
Estos mensajes, además, no necesariamente lo reciben los clientes de una entidad bancaria o empresa concreta, “pueden y suelen ser aleatorios, a cualquier persona. No tienen que recoger ni analizar información de los sujetos a los que se los envían”, indica el INCIBE. Aunque “evidentemente, siempre tendrán más éxito en su ataque si lo hacen sobre usuarios concretos pero eso implicaría conocer que lo son”, explican.
Sobre la regulación de esta funcionalidad para evitar este tipo de suplantaciones, según el instituto, dependerá “de las comprobaciones que realicen los proveedores de internet y de la normativa de cada país, por lo que no se puede descartar que los SMS se estén enviando desde algún país extranjero donde los actores hayan conseguido dar de alta ese alias para su uso fraudulento”.
Con el INCIBE coincide el maldito y experto en ciberseguridad, Jorge Louzao: “si buscas en internet 'SMS remitente personalizado', encontrarás que hay decenas de empresas de envío de mensajes que ofrecen ese servicio”, aunque, según el experto, podrían haberlo “enviado desde algún servicio extranjero para dificultar su seguimiento en caso de que alguien denuncie”.
El también maldito, licenciado en telecomunicaciones y experto en ciberseguridad, Iván Forcada, nos explica que “el uso de SMS es considerado inseguro desde hace años. Casi siempre se habla de la inseguridad de usarlos para recibir el segundo factor de autenticación pero lo que no se menciona tanto es la facilidad para suplantar al remitente”.
Teniendo en cuenta lo mencionado, Forcada concluye que hay que seguir educando en ciberseguridad y tener en mente cuando recibamos un SMS que “son inseguros, por lo que no deberíamos utilizarlos para nada importante”, aunque es consciente de su uso por parte de los bancos los cuales, en su opinión, “deberían dejar de utilizar”. Por último, recomienda desconfiar de un SMS “que te pida hacer algo”, especialmente “si hay errores gramaticales, aunque sean pequeños”.
Ante la duda, haz las operaciones desde la aplicación o página oficial de una entidad o empresa y no desde el link que recibes con el SMS
Según Louzao, “los bancos nunca te envían enlaces, como mucho un aviso para que entres en tu cuenta pero sin darte un enlace precisamente de manera preventiva para ayudar a identificar mensajes fraudulentos como ese”. De hecho, entidades como el BBVA o CaixaBank indican en sus respectivas páginas web que “nunca” te solicitarán “tu información bancaria por correo electrónico o SMS”.
Por tanto, y para evitar caer en uno de estos mensajes fraudulentos, lo que recomienda el INCIBE es que “nunca” accedas a tu cuenta del banco o empresa desde estos enlaces, aunque te lo envíen desde el número del banco o desde otra entidad de confianza, “ya que puede llevar a webs suplantadas”.
Como alternativa, hazlo a través de la página o aplicación oficial de estas empresas y, ante la duda, ponte en contacto con ellas.
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.
- Fíjate bien en el link que te envían. Si te llega un mensaje, presta atención al link que te envían y si lleva el nombre de la empresa.
- Si una institución supuestamente se está poniendo en contacto contigo, pero el SMS no está dirigido a tu nombre, sospecha.
- Observa si el SMS contiene faltas de ortografía o frases sin sentido.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Mantén actualizado el sistema operativo y el antivirus.
Si te llega un SMS sospechoso, puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también utilizar su línea de ayuda en ciberseguridad. También es recomendable denunciarlo a la Policía Nacional o ante la Guardia Civil.
Y recuerda que puedes enviarnos un email a [email protected] para contarnos tu caso, si has sido víctima de este o cualquier otro fraude.
Primera fecha de publicación de este artículo: 30/07/2021